CN106416183A - 使用分布式分类器的投票策略优化 - Google Patents
使用分布式分类器的投票策略优化 Download PDFInfo
- Publication number
- CN106416183A CN106416183A CN201580024940.7A CN201580024940A CN106416183A CN 106416183 A CN106416183 A CN 106416183A CN 201580024940 A CN201580024940 A CN 201580024940A CN 106416183 A CN106416183 A CN 106416183A
- Authority
- CN
- China
- Prior art keywords
- ballot
- grader
- network
- network node
- run
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5054—Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,标识验证数据集合的投票优化请求被发送至多个网络节点。从多个网络节点接收投票优化数据,其中通过使用验证数据集合来运行分类器从而生成该投票优化数据。随后基于投票优化数据来从这些分类器中选择一个或多个投票分类器的集合。随后将该选择通知给一个或多个网络节点,该一个或多个网络节点托管一个或多个所选择的投票分类器的集合中的投票分类器。
Description
相关申请
本申请要求于2014年5月12日递交、发明人为Cruz Mota等、题为“VOTINGSTRATEGY OPTIMIZATION USING DISTRIBUTED CLASSIFIERS(使用分布式分类器的投票策略优化)”的美国专利申请No.14/275,344的优先权,该申请的内容通过引用被合并于此。
技术领域
本公开总体涉及计算机网络,并且更具体地,涉及通过网络内分布的分类器来对所使用的投票处理进行优化。
背景技术
低功率有损网络(Low power and Lossy Network,LLN)(例如,传感器网络)具有大量应用,例如,智能网格和智慧城市。LLN面临各种挑战,例如,有损链路、低带宽、电池操作、设备的低存储和/或处理能力等。变化的环境状况也可能影响设备通信。例如,物理阻碍(例如,附近树木的树叶密度的变化、门的开启和关闭等)、(例如,来自其他无线网络或设备的)干扰方面的变化、介质的传播特性(例如,温度或湿度变化等)等也对LLN提出严峻挑战。
在LLN的情景中尤为关注的一种网络攻击是拒绝服务(DoS)攻击。通常,DoS攻击通过尝试耗尽服务的可用资源(例如,带宽、存储器等)来操作,从而阻止合法业务使用这些资源。DoS攻击还可以是分布式的,从而隐藏攻击的存在。例如,分布式DoS(DDoS)攻击可以涉及多个发送恶意请求的攻击者,从而更难以区分攻击是何时进行的。
附图说明
本文的实施例可以通过结合附图参照下文的描述进行更好的理解,其中,相似的参考标号指示等同地或功能上类似的要素,其中:
图1示出了示例通信网络;
图2示出了示例网络设备/节点;
图3示出了示例消息;
图4示出了图1的通信网络中的示例有向非循环图(DAG);
图5A-5B示出了检测和报告潜在的网络攻击的示例;
图6A-6D示出了使用分布式投票进行攻击检测的示例;
图7A-7E示出了对分布式投票处理的优化的示例;
图8A-8D示出了对分布式投票处理的再优化的示例;
图9示出了投票性能作为投票者数目的函数的示例;
图10示出了用于优化网络内的分布式投票机制的示例简化过程;以及
图11示出了用于使用一组优化的投票分类器来执行本地投票的示例简化过程。
具体实施方式
概述
根据本公开的一个或多个实施例,标识验证数据集合的投票优化请求被发送至多个网络节点。从多个网络节点接收投票优化数据,其中通过使用验证数据集合来运行分类器,从而生成该投票优化数据。随后基于投票优化数据来从这些分类器中选择一个或多个投票分类器的集合。随后将该选择通知给一个或多个网络节点,该一个或多个网络节点托管所选择的一个或多个投票分类器的集合中的投票分类器。
描述
计算机网络是在地理上分布的节点的集合,这些节点通过分段和通信链路进行互连,以在端节点(例如,个人计算机和工作站或其他设备(例如,传感器等))之间传输数据。从局域网(LAN)到广域网(WAN)的范围内的许多类型的网络是可用的。LAN通常通过位于大致相同的物理位置(例如,建筑物或校园)的专用私有通信链路来连接节点。另一方面,WAN一般通过长距离通信链路(例如,公共载波电话线、光学光路、同步光网络(SONET)、同步数字体系(SDH)链路或诸如IEEE 61334、IEEE P1901.2等的电线通信(PLC))来连接地理上分散的节点。此外,移动Ad-Hoc网络(MANET)是一种无线ad-hoc网络,其一般被认为是由无线链路连接的移动路由器(以及相关联的主机)的自配置网络,它们的联合形成了任意的拓扑结构。
具体地,智能对象网络(例如,传感器网络)是具有空间分布的自主设备(例如,传感器、致动器等)的特定类型的网络,这些自主设备以合作的方式监控不同位置处的物理或环境状况,例如,能量/电力消耗、资源消耗(例如,对于高级的测量仪器或“AMI”应用而言,水/气等)、温度、压力、振动、声音、辐射、运动、污染等。其他类型的智能对象包括例如负责开启/关闭引擎或执行任何其他动作的致动器。传感器网络(一种类型的智能对象网络)是典型的共享介质网络,例如,无线或PLC网络。也就是说,除了一个或多个传感器,传感器网络中的每个传感器设备(节点)一般可以装备有无线电收发机或其他通信端口(例如,PLC、微控制器以及诸如电池之类的能量源)。通常,智能对象网络被看作现场区域网络(FAN)、邻居区域网络(NAN)、个人区域网络(PAN)等。一般地,智能对象节点(例如,传感器)上的大小和成本约束导致对诸如能量、存储器、计算速度以及带宽之类的资源的相应约束。
图1是示例计算机网络100的示意性框图,其说明性地包括通过各种通信方法进行互连的节点/设备110(例如,如所示出的标签,“根”、“11”、“12”...“45”以及下面图2中所描述的)。例如,链路105可以是有线链路或共享介质(例如,无线链路、PLC链路等),其中,诸如路由器、传感器、计算机之类的某些节点110可以例如基于距离、信号强度、当前的操作状态、位置等与其他节点110进行通信。说明性的根节点(例如,FAN的现场区域路由器(FAR))可以通过WAN 130与局部网络互连,其可以容纳一个或多个其他相关的设备,例如,管理设备或服务器150(例如,网络管理服务器(NMS)、动态主机配置协议(DHCP)服务器、约束应用协议(CoAP)服务器等)。本领域技术人员明白,任意数目的节点、设备、链路等可以用于计算机网络,并且本文所示出的视图是出于简化的目的。另外,本领域技术人员还将理解,尽管网络以某一方向示出,尤其具有“根”节点,但网络100仅仅是一示例说明,其不意欲限制本公开。
数据分组140(例如,流量和/或消息)可以使用预定义的网络通信协议(例如,某些已知的有线协议、无线协议(例如,IEEE标准802.15.4、WiFi、蓝牙()等)、PLC协议、或其他适当地共享介质协议)在计算机网络100的节点/设备之间进行交换。在该上下文中,协议包括定义节点彼此如何交互的一组规则。
图2是可以被用于本文所描述的一个或多个实施例的示例节点/设备200(例如,如上面图1所示的任意节点或设备)的示意性框图。该设备可以包括通过系统总线250互联的一个或多个网络接口210(例如,有线、无线、PLC等)、至少一个处理器220和存储器240以及电源260(例如,电池、外接电源等)。
(一个或多个)网络接口210包含用于通过耦合至网络100的链路105来传输数据的机械电路、电学电路以及信令电路。网络接口可以被配置为使用各种不同的通信协议来发送和/或接收数据。还应当注意,这些节点可以具有两种不同类型的网络连接210(例如,无线连接和有线/物理连接),并且此处的视图仅出于说明的目的。另外,尽管网络接口210被示出为与电源260分离,但对于PLC(其中,PLC信号可以被耦合到馈入电源的电力线),网络接口210可以通过电源260进行通信,或者可以是电源的整体组件。
存储器240包括多个存储位置,这些存储位置可由处理器220和网络接口210寻址,并且用于存储与本文所描述的实施例相关联的数据结构和软件程序。应当注意,某些设备可能具有有限的存储器或者没有存储器(例如,没有用于存储除了在设备和相关联的缓存上操作的程序/处理之外的存储器)。处理器220可以包括适用于运行软件程序和操纵数据结构245的硬件元件或硬件逻辑。操作系统242尤其通过调用支持在设备上运行的服务和/或软件处理的操作来在功能上组织设备,其中,操作系统242的一部分通常驻留在存储器240中并且由处理器来运行。如本文所描述的,这些软件处理和/或服务可以包括路由处理/服务244和说明性的“学习机器”处理248,其可以根据网络100内的特定节点/设备而配置有从智能学习机器算法到仅与智能学习机器进行通信的范围内的功能。还应注意,尽管学习机器处理248被示出为在集中式存储器240中,但替代的实施例可将该处理具体地在网络接口210内操作。
其他处理器和存储器类型(包括各种计算机可读介质)可以被用来存储和运行涉及本文所描述的技术的程序指令,这对本领域技术人员而言是显而易见的。另外,尽管该描述阐述了各种处理,但明确预期各种处理可以被实现为被配置来根据本文的技术(例如,根据类似处理的功能)进行操作的模块。另外,尽管已单独地示出了这些处理,但本领域技术人员将理解,这些处理可以是其他处理内的例程或模块。
路由处理(服务)244包含由处理器220运行的计算机可执行指令,以执行由一个或多个路由协议(例如,本领域技术人员将理解的先应式路由协议和反应式路由协议)所提供的功能。这些功能可以在有能力的设备上被配置为对路由/转发表(数据结构245)进行管理,路由/转发表例如包含用来做出路由/转发决策的数据。具体地,在先应式路由中,在计算到网络中任意目的地的路由之前发现并且已知连接,例如,诸如开放最短路径优先(OSPF)、或中间系统到中间系统(ISIS)、或最优链路状态路由(OLSR)之类的链路状态路由。在另一方面,反应式路由发现邻居(即,不具有网络拓扑结构的先验知识),并且响应于到目的地所需的路由,向网络发送路由请求以确定哪个邻居节点可以用来到达所期望的目的地。示例反应式路由协议可以包括Ad-hoc按需距离矢量(AODV)、动态源路由(DSR)、动态MANET按需路由(DYMO)等。应当注意,在不能或未被配置来存储路由条目的设备上,路由处理244可以仅包括提供源路由技术所必需的机制。也就是说,对于源路由,网络中的其他设备可以确切地告诉具有较少能力的设备将分组发送至哪里,并且具有较少能力的设备简单地按照指导来转发分组。
学习机器处理248包含由处理器220运行的计算机可执行指令,以执行诸如攻击检测和报告之类的各种功能。一般地,机器学习涉及如下技术的设计和开发:将经验数据(例如,网络统计信息和性能指示符)作为输入,并且识别这些数据中的复杂模式。机器学习技术中的一种非常常见的模式是使用底层模型M,给定输入的数据,该模型M的参数被优化为最小化与M相关联的成本函数。例如,在分类的上下文中,模型M可以是直线,其将数据分成两个等级以使得M=a*x+b*y+c,并且成本函数将是错误分类的点的数目。学习处理随后通过调整参数a、b、c进行操作,以使得错误分类的点的数目最小。在该优化阶段之后(或学习阶段),模型M可以易于用来对新的数据点进行分类。通常,M是统计模型,并且给定输入的数据,成本函数与M的似然成反比。
如上所述,学习机器(LM)是依赖于一个或多个机器学习处理的计算实体,该一个或多个机器学习处理用于执行学习机器尚未被明确编程来执行的任务。具体地,LM能够调整其行为来适应其环境。在LLN的情景中,并且更一般地在IoT(或万联网(Internet ofEverything,IoE))的情景中,该能力将非常重要,因为网络将面对变化的状况和需求,并且网络对于网络运营商的有效管理而言将变得太大。
人工神经网络(ANN)是一种机器学习技术,所开发的该技术的底层数学模型受如下理论的启发:智力活动主要包括互连神经元之间的电化学活性。ANN是由有向加权链路连接的计算单元(神经元)的集合。通过将神经元执行的操作和这些链路所适用的权重进行组合,ANN能够针对输入的数据执行高度非线性操作。对ANN的兴趣的方面不在于其能针对输入生成高度非线性输出,而在于这些ANN能够通过训练处理进行学习以再生成预定义行为。相应地,ANN可以被训练来标识网络行为中的偏差,这些偏差可以指示网络攻击的存在(例如,分组丢失、链路延迟、请求数目等方面的变化)。
低功耗有损网络(LLN)(例如,某些传感器网络)可以用于许多应用中,例如,“智能网格”和“智慧城市”。LLN中存在许多挑战,例如:
1)链路一般是有损耗的,从而导致分组递送率/比率(PDR)可能由于各种干扰源而显著变化,例如,十分影响误比特率(BER);
2)链路一般是低带宽的,从而使得与低速率数据流量相比,控制平面流量通常可能受限并且可忽略;
3)存在需要指定一组链路和节点度量的多个用例,其中该组链路和节点度量中的一些是动态的,因而需要特定的平滑函数以避免路由的不稳定性,从而大幅消耗带宽和能量;
4)一些应用可能需要约束路由,例如以建立将避免非加密的链路、节点以低能量运行的路由路径;
5)网络的规模可能变得很大,例如,几千至几百万节点的数量级;以及
6)节点可能被约束为具有低存储、降低的处理能力、低电源(例如,电池)。
换言之,LLN是路由器及其互连均被约束的一类网络:LLN路由器通常在约束(例如,处理功率、存储器和/或能量(电池))下进行操作,并且其互连说明性地由高损耗速率、低数据速率和/或不稳定性来表征。LLN包括从几十个到几千甚至几百万个LLN路由器的任何事物,并且支持点到点流量(在LLN内的设备之间)、点到多流量(从中央控制点到LLN内的设备的子集)以及多点到点流量(从LLN内的设备到中央控制点)。
LLN的示例实现方式是“物联网”网络。宽松地,术语“物联网”或“IoT”可以由本领域技术人员用于指代唯一可标识的对象(事物)及其在基于网络的架构中的虚拟表示。具体地,互联网演进的下一前沿是不仅仅连接计算机和通信设备的能力,还有连接一般“对象”(例如,灯、装置、交通工具、HVAC(采暖、通风和空调)、窗户和窗帘以及百叶窗、门、锁等)的能力。“物联网”因而一般指代诸如传感器和致动器之类的对象(例如,智能对象)通过计算机网络(例如,IP)进行互连,其中,计算机网络可以是公共互联网或私有网络。这样的设备已在工业中使用了数十载,通常以非IP或私有协议的形式使用,这些非IP或私有协议通过协议转换网关的方式而连接到IP网络。随着诸如智能网格、智慧城市、以及建筑和工业自动化以及汽车(例如,其能够互连用于感知像功率质量、轮胎压力和温度之类的事物的上百万的对象并且能够致动引擎和灯)之类的大量应用的出现,扩展适用于这些网络的IP协议极为重要。
在由Winter等提出的题为“RPL:IPv6Routing Protocol for Low Power andLossy Networks(RPL:用于低功率有损网络的IPv6路由协议)”的互联网工程任务组(IETF)提议标准,请求注解(RFC)6550(2012年3月)中规定的示例协议提供了支持从LLN内的设备到中央控制点(例如,一般地,LLN边界路由器(LBR)或“根节点/设备”)的多点到点(MP2P)流量以及从中央控制点到LLN内的设备的点到多点(P2MP)流量(还有点到点或“P2P”流量)。RPL(发音为“ripple”)一般可以被描述为距离矢量路由协议,其除了定义限制控制流量、支持修护等的一组特征之外,还建立用于路由流量/分组140的有向非循环图(DAG)。应当注意,如本领域技术人员可以理解的,RPL还支持多拓扑路由(MTR)的概念,借此,可以根据单独的需求来建立多个DAG以承载流量。
DAG是具有某一属性的有向图,该属性使得所有的边(和/或顶点)以期望不存在循环(回路)的方式来导向。所有的边被包含在指向一个或多个根节点(例如,“簇首(clusterhead)”或“汇集点(sink)”)并且在该一个或多个根节点处终止的路径中,通常用来互连具有较大基础设施(例如,互联网、广域网、或其他域)的DAG的设备。此外,面向目的地的DAG(Destination Oriented DAG,DODAG)是生根于单个目的地的DAG,即,在没有向外的边的单个DAG根处。DAG内的特定节点的“双亲”是该特定节点在去往DAG根的路径上的直接继承者,以使得双亲具有比特定节点自身低的“等级”,其中,节点的等级标识了节点相对于DAG根的位置(例如,节点离根越远,则该节点的等级越高)。而且,在某些实施例中,DAG内的节点的兄弟姐妹可以被定义为DAG内位于同一等级处的任何邻近的节点。应注意,兄弟姐妹不一定共享同一双亲,并且兄弟姐妹之间的路由一般不是DAG的一部分,因为不存在转发进度(它们的等级是相同的)。还应注意,树是一种DAG,其中,DAG中的每个设备/节点一般具有一个双亲或一个优选双亲。
DAG一般可以基于目标函数(OF)(例如,通过DAG处理)来建立。目标函数的角色一般用来规定如何建立DAG的规则(例如,双亲的数目、备用双亲,等等)。
此外,可以通过路由协议来通告一个或多个度量/约束,从而优化DAG。另外,路由协议允许包括用来计算约束路径的一组可选的约束,例如,如果链路或节点不满足所要求的约束,则当计算最佳路径时将其从候选列表中“修剪掉”。(替代地,可以从OF中分离出这些约束和度量。)此外,路由协议可以包括定义主机或一组主机(例如,作为数据收集点进行服务的主机,或者提供到外部基础设施的连接的网关)的“目标”,其中,DAG的主要目标在于使得DAG内的设备能够达到该目标。在节点不能符合目标函数或者不理解或不支持所通告的度量的情形中,该节点可被配置为作为叶子节点来加入DAG。如本文所使用的,各种度量、约束、策略等被认为是“DAG参数”。
说明性地,用来选择路径(例如,优选的双亲)的示例度量可以包括成本、延迟、时延、带宽、预期传输计数(ETX)等,而可以施加到路由选择的示例约束可以包括各种可靠性阈值、对电池操作的限制、多径分集、带宽需求、传输类型(例如,有线、无线等)。OF可以提供定义负载均衡要求的规则,例如,所选择的双亲的数目(例如,单双亲树或多双亲DAG)。应当注意,可以在如下IETF RFC中获得如何路由度量和约束的示例,该IETF RFC由Vasseur等提出,其题为“Routing Metrics used for Path Calculation in Low Power and LossyNetworks(对低功率有损网络中用于路径计算的度量进行路由)”<RFC 6551>(2012年3月的版本)。而且,示例OF(例如,缺省OF)可以在如下IETF RFC中找到,该IETF RFC由Thubert提出,其题为“RPL Objective Function 0(RPL目标函数0)”<RFC 6552>(2012年3月的版本),以及由O.Gnawali提出,其题为“The Minimum Rank Objective Function withHysteresis(具有迟滞的最低等级目标函数)”<RFC 6719>(2012年12月的版本)。
建立DAG可以使用发现机制来建立网络的逻辑表示,并且使用路由分发来建立网络内的状态,从而使得路由器知道如何将分组转发至其最终目的地。应当注意,“路由器”指的是可以转发流量以及生成流量的设备,而“主机”指的是能够生成流量但不能转发流量的设备。另外,“叶子”一般可以被用来描述被一个或多个路由器连接到DAG,但不能自己将在DAG上接收的流量转发至DAG上的另一路由器的非路由器。当建立DAG时,可以在网络内的设备之间发送用于发现和路由分发的控制消息。
根据说明性的RPL协议,DODAG信息对象(DIO)是一种DAG发现消息,该DAG发现消息携带允许节点进行如下操作的信息:发现RPL实例(RPL Instance)、获悉其配置参数、选择DODAG双亲集合、以及维护向上路由拓扑。此外,目的地通告对象(DAO)是一种DAG发现回复消息,该DAG发现回复消息沿着DODAG向上传递目的地信息,以使得DODAG根(和其他中间节点)能够配设向下的路由。DAO消息包括用来标识目的地的前缀信息、用来记录路由(支持源路由)的能力、以及用来确定特定通告的新鲜度的信息。应当注意,“向上”或“上行”路径是从叶子节点引导至DAG根的方向的路由,例如,跟随DAG内的边的导向。相反地,“向下”或“下行”路径是从DAG根引导至叶子节点的方向的路由,例如,一般与DAG内的向上消息的方向相反。
一般地,DAG发现请求(例如,DIO)消息被从DAG的(一个或多个)根设备向下发送至叶子,从而告知每个继承接收设备如何到达根设备(也就是说,从哪个方向接收该请求一般便是根的方向)。相应地,在去往根设备的向上方向上创建DAG。DAG发现回复(例如,DAO)然后可以被从叶子返回至(一个或多个)根设备(除非不必要,例如,仅针对UP流),从而以另一方向告知每个继承接收设备针对向下路由如何到达叶子。能够维护路由状态的节点可以在发送DAO消息之前将它们所接收的DAO消息中的路由进行聚合。然而,不能维护路由状态的节点可以附加下一跳的双亲地址。DAO消息随后被直接发送到DODAG根,该DODAG根转而可以建立拓扑并且本地计算去往该DODAG中的所有节点的向下路由。在不能存储向下路由状态的DAG的区域上使用源路由技术,这使得这样的节点是可达的。此外,RPL还指定了被称为DIS(DODAG信息征集)消息的消息,该消息在特定的环境下被发送以发现DAG邻居并且加入DAG或恢复连接。
图3示出了示例简化控制消息格式300,当建立DAG时,该示例简化控制消息格式300可被用于发现和路由分发,该示例简化控制消息格式300例如可以是DIO、DAO、或DIS消息。消息300说明性地包括具有一个或多个字段312的头部310,其中字段312标识消息类型(例如,RPL控制消息)和指示具体消息类型的具体代码(例如,DIO、DAO、或DIS)。该消息的主体/有效负荷320内可以是用来回复相关信息的多个字段。具体地,这些字段可以包括各个标记/比特位321、序列号322、等级值323、实例ID 324、DODAG ID 325以及其他字段,每个字段可由本领域技术人员详细理解。而且,对于DAO消息,除了其他之外(例如,用于ACK的DAO序列等),还可以包括用于目的地前缀326的额外字段和运送信息字段327。对于任何类型的消息300,一个或多个额外的子选项字段328可以被用来提供消息300内的额外的或定制的信息。例如,目标代码点(OCP)子选项字段可以在DIO内用来携带具体目标函数(OF),该OF指定用于建立相关联的DAG。替代地,子选项字段328可以被用来携带消息300内的某些其他信息,例如,指示、请求、性能、列表、通知等,本文例如可以在一个或多个类型长度值(TLV)字段中来描述这些信息。
图4示出了例如可以通过上面所描述的技术在图1的网络100内建立的示例简化DAG。例如,可以针对每个节点来选定某些链路105以与特定双亲进行通信(因而反之,与孩子(如果存在)进行通信)。这些选定的链路形成DAG 410(如粗线所示),其从根节点延伸到一个或多个叶子节点(没有孩子的节点)。流量/分组140(图1所示)然后可以以向上至根的方向或向下至叶子节点的方向来穿过DAG 410,如本文具体描述的。
如上所述,LLN通常在可用资源方面是受限的,并且趋向于比其他形式的网络更动态,从而在尝试检测DoS和其他形式的网络攻击时具有许多挑战。具体地,可用于给定网络节点的有限的计算资源可以防止该节点托管成熟的学习机器处理。在一些情形中,该节点可以简单地将观察数据输出到由具有更多资源的设备(例如,FAR)托管的学习机器。然而,这样做也增加了网络中的流量开销,这可能影响LLN中的性能。
根据各种实施例,轻量级学习机器分类器可以被分布给网络节点以用于攻击检测。一般地,分类器指的是可操作来将一组标签中的某一标签与一组输入数据进行关联的机器学习处理。例如,分类器可以将标签(例如,“攻击”或“无攻击”)应用到一组给定的网络度量(例如,流量速率等)。所分布的分类器可以被认为是“轻量级”的,这是因为它们可能以更低性能的折中而具有比成熟的分类器更低的计算要求。为了改善攻击检测,与分布式的轻量级分类器相比,具有更多资源的中央计算设备(例如,FAR、NMS等)可以运行更大计算强度的分类器。在分布式分类器检测到攻击的情形中,该分布式分类器可以向中央设备提供数据以验证结果和/或发起对抗。然而,由于分布式分类器的性能可能相对较低,因此这也意味着可能存在较大量的误报被报告给中央分类器。
现在参照图5A-5B,示出了网络100内被检测到并且被报告的网络攻击的示例。假设针对示例性目的,轻量级分类器被分布到网络100中的各个节点,并且具有更大权力的分类器被FAR运行。如图5A所示,攻击节点/设备可以启动以节点31为目标的攻击。该攻击的结果是,节点31上的轻量级分类器可以基于所观察的信息的特征集合(例如,发送成功率、接收成功率等)来检测该攻击,如图5B中所示。作为响应,节点31可以生成警报508并且将其发送至监管设备(例如,FAR),以使用具有更大权力的分类器对该攻击进行核实和/或采取矫正措施。替代地,或者除了向FAR发送警报,节点31可以向网络100中的其他节点广播警报,以发起矫正措施。然而,在警报508是误报的情形中,这意味着网络100内会产生不需要的流量,这可能已经限制了可用的带宽。
为了减少误报的数目,可以在网络100内实现投票机制,从而在通知监管设备之前对所检测到的攻击进行验证。例如,如图6A-6D所示,示出了分布式投票机制,其中,特定节点发起投票处理以在采取进一步措施(例如,向FAR发送警报,对其他节点发送警报等)之前对攻击进行确认。在各个实施例中,参与投票处理的节点可以位于网络中的任何位置(例如,投票者可以是邻居节点、非邻居节点、或者甚至是被连接到不同FAR/根的节点)。在检测到攻击之后,节点31可以向一组经授权的投票者发送投票请求602,如图6A所示。作为响应,这些投票者可以使用其自己的本地分类器来确定是否存在攻击,如图6B所示。这样的投票可以基于投票者自己的观察或者基于来自投票请求602中所包括的节点31的观察数据。如图6C所示,投票者随后用投票604来响应节点31。节点31然后使用投票604来确定所检测到的攻击是否确认存在,如图6D所示。如果是,则节点31向FAR发送警报或者采取其他措施。根据各个实施例,这样的投票机制还可以被优化以确定哪些投票者应该参与投票,从而减少投票所产生的网络开销。为了进一步减少误报的变化,还可以针对如何达成共识进行优化(例如,通过为确认发生设置投票的阈值数等)。
使用分布式分类器的投票策略优化
本文的技术针对分布在网络中的分类器之间的给定分类问题,提供了用于计算最优投票策略的机制。在一些方面,托管可能感兴趣的分类器的网络节点/设备被请求来将其分类器应用到已知的验证集合(例如,包括已知的地面实况(ground-truth)的一组验证数据)。随后可以收集对该验证集合的分类结果,并且由用于计算最优投票策略(例如,哪些节点/分类器要参与投票以及这些分类器之间达成一致的最小值)的优化处理来使用。例如,可以通过最小化或最大化受制于一个或多个约束的目标函数来确定最优投票策略。在其他方面,一旦计算出最优投票策略,则所涉及的分类器可以被上传到发起投票优化处理的设备,从而允许本地投票。优化后在投票处理中所交换的信息量可能减少,从而使得该方法适于诸如IoT之类的应用。
具体地,根据下面将详细描述的本公开的一个或多个实施例,标识验证数据集合的投票优化请求被发送至多个网络节点。从多个网络节点接收投票优化数据,其中通过使用验证数据集合来运行分类器,从而生成该投票优化数据。随后基于投票优化数据来从这些分类器中选择一个或多个投票分类器的集合。随后将该选择通知给托管一个或多个所选择的投票分类器的集合中的投票分类器的一个或多个网络节点。
说明性地,本文所描述的技术例如可以根据学习机器处理248通过硬件、软件和/或固件来执行,其中,学习机器处理248可以包含由处理器220(或接口210的独立处理器)运行的计算机可执行指令以(例如,结合路由处理244)执行与本文所描述的技术有关的功能。例如,本文的技术可以被作为对常规协议的扩展,例如,对各种PLC协议或无线通信协议的扩展,由此,本文的技术可相应地由本领域所理解的运行这些协议的类似组件来处理。
引入下面的术语来协助理解本文的技术:
·LCE(i):第i个学习分类实体(LCE)。一般地,LCE指代托管学习机器分类器(例如,用于攻击检测的分类器)的网络设备。任何数目的不同类型的网络设备(例如,路由器、交换机、数据中心、或能够执行分类任务的任何其他的计算设备)可以作为LCE进行部署。
·C(i,j):由LCE(i)托管的第j个分类器。换言之,LCE(i)可以托管多个分类器。在各种实施例中,在特定LCE和/或不同LCE之间的分类器类型(例如,ANN、SVM等)可以不同。
·L(i,j):C(i,j)的标签(例如,输出类别)的集合。例如,L(i,j)={″攻击″,″正常″}是可用于攻击检测的一种可能的标签集合。
·V:针对集合中的每个样本具有已知标签的特定验证集合的唯一标识符。
·C(V):要应用于V的约束。例如,一个约束可以指明:仅考虑来自验证集合的在给定时间段内得到的样本。在另一示例中,某一约束可以指明:仅应考虑验证集合中的在给定日期之后得到的样本。
·N:优选用于投票的一组分类器。例如,N={C(k,l),C(P,q),C(t,r)}是可被指定为最优的一组可能的分类器。
·k:所计算的最优共识。换言之,k可以是投票计数阈值,该投票计数阈值可能在达到投票者之间的共识之前便达到。例如,如果,k=2,则至少两个分类器可以同意存在共识(例如,检测到攻击)。应当注意,k可以最小为1且最大为集合N的大小(即,1<=k<=|N|)。
操作上,本文所公开的技术可以涉及执行如下功能中的任何功能或所有功能。首先,LCE可以向其他LCE发送分类问题的特性和这些LCE应该将其(一个或多个)分类器应用于的验证集合的特性。然后,具有满足请求(例如,分类和验证特征)的验证集合和分类器的所有LCE可以将其(一个或多个)分类器应用于该验证集合,并且将结果发送回请求LCE。利用所收集的结果,请求LCE然后可以基于优化标准(例如,一池分类器执行多少正确分类)来计算最优投票策略。然后对托管根据所计算的最优投票策略而被选择参与投票的分类器的LCE进行联系,并且在一些实施例中,可以请求这些LCE将其分类器发送至启动优化的LCE。在接收到所有分类器之后,请求投票优化的LCE能够本地应用所计算的最优投票策略,从而减少用于实施投票的流量。替代地,远程分类器也可被用于参与投票。
-发起投票优化-
使得LCE(i)为使用其本地分类器C(i,j)来面对分类问题的LCE。为了改善LCE(i)仅应用C(i,j)所获得的结果,LCE(i)可以通过向其他LCE发送请求来请求投票优化。一般地,优化请求可以包括分类问题的特性和可用来确定一组最优的投票分类器的验证集合的特性。
在一个实施例中,投票优化请求可作为IPv4或IPv6单播消息被发送至NMS。例如,如图7A所示,节点31可以向NSM 150发送投票优化请求702。转而,NMS随后可以与LCE进行联系,这些LCE托管适合所指明的分类问题并且能够使用所指明的验证集合的分类器。在这样的实现方式中,LCE可以向NMS注册:LCE本地可获得哪些分类器,以及哪些数据集合可用于LCE。
在另一实施例中,投票优化请求可以被发送至已知的多播群组,该多播群组包括网络中所有可用的LCE。例如,如图7B中所示,节点31可替代地将投票优化请求702直接多播至其他已知的LCE。可以在注册处理期间,通过将分类器信息包括在CoAP消息内来构建这样的多播群组。如果未已知,则也可以从NMS、网络控制器或其他网络设备中获取多播群组地址。
投票优化请求702可以包括以下类型长度值(TLV)中的任意一个或全部:
·L(i,j):投票优化请求可以指明接收LCE上的分类器可以提供的一组标签(例如,输出类别)。例如,L(i,j)={″攻击″,″正常″}是可用于攻击检测的一种可能的标签集合。
·V:投票优化请求还可以指示请求接收LCE应用的验证集合。一般地,V可以是唯一标识接收器可以使用的验证集合的标识符,因为所有接收机可能已经能够本地访问相同的验证集合。可选地,如果出于相同的原因,接收机不能本地访问验证集合,则LCE(i)可以选择向该接收机发送整个验证集合。
·C(V):在一些情形中,投票优化请求还可以包括要被应用到验证集合的一组约束。例如,优化请求可以包括如下约束中的任意约束:“仅使用验证集合中小于1天之前收集到的样本”,“仅使用来自具有多于某一流量值的节点的样本”,“仅使用来自利用电池进行工作的节点的样本”等。在另一实施例中,如果发送整个验证集合而不是仅发送标识符,则可以直接对发送优化请求的LCE实施这样的过滤,从而降低带宽消耗。
一旦接收到投票优化请求,则每个接收LCE(k)可以检查其是否具有满足所请求的条件(例如,是否满足L(k,l)=L(i,j))的分类器C(k,l)。接收LCE(k)还可以确定其是否能够访问优化请求中所指明的验证集合。在一个实施例中,该访问可以是对LCE(k)的存储器进行本地访问。在另一实施例中,LCE(k)可以与NMS或网络控制器进行联系,并且请求访问所指明的验证集合。如果这两个条件都不满足,则LCE(k)可以用优化拒绝消息(例如,IPv4或IPv6消息)来响应请求LCE。在另一实施例中,没有来自LCE(k)的确认可被请求LCE认为是否定回复。
如果LCE具有满足优化请求的分类器,并且能够访问所请求的验证集合,则LCE可以执行所请求的分类。换言之,LCE可以将其本地的(一个或多个)分类器C(k,l)应用到验证集合V中的每个样本(例如,满足优化请求的分类器)。如果优化请求包括对验证集合的约束,则LCE可以在应用其(一个或多个)分类器之前首先将这些约束应用到验证集合。例如,如图7C所示,如果可能的话,每个接收LCE可以使用其本地分类器来估计验证集合。
一旦LCE使用其本地分类器完成其对验证集合的估计,则这些LCE可以向请求LCE发送回结果以作为投票优化数据。例如,如图7D所示,投票优化数据708可以被发送回请求了该优化的节点31。投票优化数据708可以包括如下TLV中的任意一项或全部:
·所使用的分类器C(k,l)的ID:在一些情形中,所返回的投票优化数据可以包括响应LCE针对验证数据所使用的每个分类器的唯一标识符。
·L(k,l):投票优化数据还可以包括通过将分类C(k,l)器应用到完整的验证集合V或所约束的验证集合而获得的输出(例如,标签)。应当注意,这些输出(其为针对每个样本所获得的标签)可易于压缩。
·针对每个样本的置信度量:在一些情形中,优化数据还可以包括与验证集合中的每一样本的分类器C(k,l)的输出相关联的置信度量。
·针对C(k,l)的性能测量:在一些情形中,优化数据还可以包括综合置信度或所应用的分类器的性能度量。例如,性能值可以是分类器的查全率(recall)和/或分类器的精度。
在另一实施例中,除了或者代替投票优化数据,给定LCE可以选择将其一个或多个本地分类器发送至请求LCE。例如,假设响应LCE具有满足优化请求中的条件的分类器C(k,l),但不能够访问验证请求。在这一情形中,响应LCE可以选择将分类器C(k,l)发送至请求LCE。在该情形中,请求LCE可以将分类器C(k,l)本地应用于验证集合,从而获得投票优化数据。应当注意,在所有投票被请求LCE(例如,使用不同的分类器)本地执行的情形中,分类器C(k,l)此时已经驻留在请求LCE中。因此,将不需要针对该分类器的进一步的请求。
-投票优化-
在接收到投票优化数据(例如,由分布式分类器针对验证集合生成的结果)之后,请求LCE确定针对其分类器问题的最优投票策略。在响应LCE发送其本地分类器来代替分类器的结果的情形中,请求LCE可以通过将接收到的分类器应用到验证集合来获得相应的优化数据。例如,如图7E所示,节点31可以基于从分布式LCE接收到的投票优化数据708,来确定达成共识的一组最优的投票者和/或最优的阈值。
在各个实施例中,可以通过优化处理来计算最优投票策略,其中该优化处理将所收集的分布式分类器的全部结果(例如,优化数据)作为输入,并且将一组最优的分类器(N)和/或最优的投票共识值(k)作为输出。这些最优值可以针对预定义的最优性准则来进行优化。这种准则例如可以用来最大化适当分类的样本数目、最大化特定等级的适当分类的样本数目、最小化针对特定参数的分类性能变化、最小化预定义的加权误差度量等。
投票优化可以被设备看作是离散优化问题,该离散优化问题试图最大化或最小化受制于一个或多个约束的目标函数,并且其中所涉及的所有变量仅采用自然值。出于说明的目的,使得f_V(k,N)为这样的函数,该函数在考虑分类器集合N中的至少k个分类器达成共识的情况下,来对验证集合V中正确分类的样本数目进行计数。例如,假设k=2,N={C(i,j),C(k,l),C(m,n)},并且V中特定样本的正确标签为“攻击”。在这种情形中,N中的至少两个分类器可以将样本标记为“攻击”,以使共识正确。如果是这样,则f_V(k’N)将递增正确分类的样本的数目。否则,针对特定样本所达成的共识将被该函数忽略。在各个实施例中,这种函数可以被看作是离散优化问题,该离散优化问题试图最大化受制于如下两个条件的f_V(k,N):
1)N可以是可用分类器的整个集合的子集;以及
2)k可以满足:1<=k<=|N|。
换言之,符合条件的投票者的数目以及用于达成共识的投票计数阈值可以通过优化问题而减小,同时仍确保正确投票结果的数目是最大的。
-集中式投票-
一旦LCE(i)已经计算了N(可以参与投票的分类器集合),则LCE(i)可以与托管所选择的分类器之一的每个LCE进行联系。例如,请求LCE可以将分类器请求发送至托管N中的一个或多个分类器的每个LCE。例如,如图8A所示,假设节点21、32和42托管由节点31选作投票者的分类器。在这种情形中,节点31可以将分类器请求802发送至所选择的节点。在一个实施例中,分类器请求802可以是IPv4或IPv6消息,该IPv4或IPv6消息标识了从LCE请求的一个或多个分类器。例如,分类器请求802可以包括集合{C(k,l),C(k,r)},该集合标识了所托管的分类器。
响应于接收分类器请求,如果请求LCE(i)被授予访问(一个或多个)本地分类器,则LCE可以回复分类器授予消息804。在一个实施例中,分类器授予消息804包括(一个或多个)所请求的分类器,从而允许请求LCE继续执行集中式投票。换言之,在接收到分类器授予消息804之后,被选择进行投票的分类器可以被请求LCE本地运行。例如,如果特定分类器是基于ANN的,则分类器授予消息可以包括神经元之间的链路的权重、神经元的激活函数、以及这些激活函数所需的任何参数。有利之处在于,与分布式投票相比,在请求LCE处本地执行所有投票减少了网络开销,但代价是该LCE需要使用额外资源。如果达成共识,则LCE可以发起矫正措施或生成警报,例如,图5B中所示的警报508。
在一些情形中,LCE可以拒绝将其分类器发送至请求LCE和/或可以使用分布式投票处理。例如,置信度问题、策略引擎中定义的策略或其他这样的因素可以防止LCE授予访问(一个或多个)所请求的分类器的权限。在这样的情形中,拒绝LCE可以向请求LCE发送通知,该通知标识了没有授权访问权限的(一个或多个)分类器。一旦接收到拒绝,请求LCE可以选择将所限制的(一个或多个)分类器(例如,通过计算新的最优投票策略)从投票中排除。在一些实施例中,即使在分类器不被发送至请求LCE的情形中,仍可使用分布式投票机制。例如,请求LCE仍可采用分布式投票机制,例如,如图6A-6D所示,其中,投票分类器被分布式LCE本地运行,并且结果被发送回发起LCE。
在一些实施例中,在任何LCE将所选择的分类器更新为投票者时,可以将此通知给请求LCE。例如,请求LCE可以在分类器请求802中设置参数,该参数请求对任何相关的分类器更新的通知。在这样的情形中,接收该请求的LCE可以将请求LCE添加到订阅列表中。每当本地分类器被更新,LCE则可以向每个订阅的LCE发送其新的分类器的详情(在该情形中,消息中包括适当的原因代码)。例如,如图8C所示,假设节点21对节点31用于投票的分类器进行托管,并且该分类器已被更新。在这样的情形中,节点21可以向节点31发送更新通知806,该更新通知806包括新的分类器的详情。在一些实现方式中,更新通知806可以具有与分类器授予消息804相同的格式(例如,通知806可以包括更新后的分类器)。
如图8D所示,被通知以分类器更新的LCE可以决定是否基于新的分类器来对投票处理进行再优化。例如,如果更新后的分类器被提供给节点31,则节点31可以针对验证集合来检查其性能,并且甚至可以重新计算k和N的最优值。
现在参照图9,示出了投票性能作为投票者数目的函数的示例曲线图900。如图所示,在投票数、集体投票的查全率以及源自集体投票的误报百分比之间存在折中。例如,随着投票数增加,误报的整体百分比将下降。相反地,集体投票的查全率也随着投票数的增加而下降。相应地,可以做出折中以使得该处理的查全率处于阈值以上。例如,假设90%或更大的查全率是可接受的。在这样的情形中,将投票数从1增加到7还显示误报百分比从23%下降到5%。
图10根据本文所描述的一个或多个实施例示出了用于优化网络内的分布式投票机制的示例简化过程。过程1000可以开始于步骤1005,并且继续到步骤1010,该步骤1010处,如上面更详细的描述,请求LCE发送一个或多个投票优化请求。一般地,这样的请求包括关于要经由投票来解决的分类问题的数据以及要用于投票优化处理的数据的验证集合。例如,投票优化请求可以指明由特定分类器使用的标签集合并且标识了要被其他LCE使用的验证数据集合(例如,数据的完成集合或受制于一个或多个约束的验证数据集合)。在一个实施例中,优化请求被发送至中央设备(例如,NMS)并且被转发至任意其他符合条件的LCE/节点。在另一实施例中,这些请求被直接发送至其他LCE。
在步骤1015处,从接收优化请求的其他LCE接收投票优化数据,如上面更详细的描述。这样的优化数据可以部分基于如下判断:响应LCE是否具有符合优化请求的分类器以及该请求中所指示的验证数据是否可获得。如果两个条件均满足,则响应LCE可以对验证数据使用其符合条件的(一个或多个)分类器。分类的结果然后可以被包括在投票优化数据中,该投票优化数据被返回至请求LCE。例如,优化数据可以标识(一个或多个)分类器、由该(一个或多个)分类器获得的结果和/或关于分类器或结果的性能测量。
在步骤1020处,对投票者进行选择,如上文更加详细的描述。在一些实施例中,可以从所接收的优化数据中指示的分类器中选择一组最优投票者。例如,目标函数可以被优化为选择能够对验证数据中的样本正确分类最多次的一组投票者/分类器。在一些实施例中,投票计数阈值还可以被优化为目标函数的一部分。换言之,优化可以包含确认如下内容:最大化正确结果的数目的最小投票者集合,以及达成产生最佳性能的共识的最优阈值。
在步骤1025处,通知被发送至对被选作投票者的分类器进行托管的节点,如上文所详述的。例如,分类器请求可以被发送至请求访问所选择的分类器的其他LCE。在一个实施例中,其他LCE可以通过将所选择的分类器发送回请求LCE来响应。请求LCE然后可以使用这些分类器来执行本地投票。在另一实施例中,也可采用分布式投票机制,在该情形中,分类器请求要求其他LCE访问所选择的分类器。过程1025然后在步骤1030处结束。
图11根据本文所描述的一个或多个实施例,示出了使用一组最优的投票分类器来执行本地投票的示例简化过程。过程1100可以开始于步骤1105处,并且继续到步骤1110,在步骤1110处,如上面更详细的描述,特定分类器被标识为投票处理中的最优投票者。例如,如上面在过程1000中所描述的,可以从网络中分布的一组分类器中标识出一组最优投票分类器。这样的投票者可以被用来核实特定分类器的成果,例如,对网络攻击的检测。在一些实施例中,最优投票计数阈值也可以与该组投票者/分类器相关联。如果投票数处于阈值处或者高于阈值,则原始分类被验证有效。然而,如果投票数低于阈值,则原始分类可以被认为是误报。
在步骤1115处,可以从另一网络节点接收投票分类器,如上文更加详细的描述。例如,响应于确定位于其他网络节点的最优投票分类器池,设备可以从这些其他节点请求相应的分类器。一般地,所接收的分类器可以包括将远程分类器复制到本地设备所需的任何数据(例如,参数、输入特征、标签等)。例如,如果特定分类器是基于ANN的,则所接收的数据可以包括神经元之间的链路的权重、神经元的激活函数、以及这些激活函数所需的任何参数。
在步骤1120处,如上面更加详细的描述,可以使用所接收的分类器来进行本地投票。可以执行本地投票例如来验证特定分类器所得到的结论。应当注意,通过执行本地投票,分类器可以使用本地观察数据,从而降低投票处理的网络使用(例如,与执行分布式投票相比)。如果投票验证存在攻击,则本地设备可以发起进一步措施,例如,向一个或多个其他设备发送警报、做出路径更改等。过程1100然后在步骤1125处结束。
应当注意,尽管过程1000-1100中的某些步骤如上所述是可选的,但图10-图11中所示出的步骤仅仅是用于说明的示例,并且可以根据需要包括或排除某些其他步骤。另外,尽管步骤的特定顺序被示出,但该顺序仅仅是说明性的,并且可以在不背离本文的实施例的范围的情况下来使用对步骤的任意合适的安排。而且,尽管过程1000-1100被单独描述,但来自每个过程的某些步骤可以被包括在彼此的过程中,并且这些过程不意为互相排斥。
因此,本文所描述的技术提供了对特定分类问题的最优投票策略的计算,例如将网络流量分类为正常或指示攻击。实际上,投票分类器作为元分类器,该元分类器可以相对于单个分类器而产生提高的性能。此外,可以使用具有相同输出标签(例如,正常或攻击)、并且可以具有或者可以不具有相同输入特征的不同类型的分类器(例如,ANN、SVM、Bayesian等)来进行投票。可以本地执行这样的投票,从而降低特定节点对网络的使用,或者可以采用分布式的方式来执行这样的投票,从而降低该节点的资源需求。
尽管已经示出并且描述了提供对网络攻击的检测进行验证的说明性实施例,但应当理解,在本文的实施例的精神和范围内,可以做出各种其他的适应和修改。例如,尽管本文的技术主要针对攻击检测分类器进行描述,但本文的技术也可以被用来对与攻击检测有关的不同分类标签(例如,与其他网络状况有关的标签)进行投票。另外,尽管本文的技术主要在LLN的上下文中进行描述,但本文的技术可以更普遍地适用于任何形式的计算机网络,例如,企业网络。
前面的描述针对具体实施例。然而,显而易见的是,可以对所描述的实施例做出其他变化和修改,从而实现其优势中的一些优势或全部优势。例如,应当明确预期,本文所描述的部件和/或元件可以被实现为软件,该软件被存储于具有在计算机、硬件、固件或其组合上运行的程序指令的有形(非暂态)计算机可读介质(例如,盘/CD/RAM/EEPROM/等)。因此,本说明书只通过示例的方式进行,而非以其他方式限制本文的实施例的范围。因此,所附权利要求的目的在于覆盖进入本文的实施例的真实精神和范围内的所有这样的变化或修改。
Claims (23)
1.一种方法,包括:
由设备向多个网络节点发送标识验证数据集合的投票优化请求;
在所述设备处接收来自所述多个网络节点的投票优化数据,其中所述网络节点通过使用所述验证数据集合来运行分类器从而生成所述投票优化数据;
基于所述投票优化数据来从所述分类器中选择一个或多个投票分类器的集合;以及
由所述设备将该选择通知给一个或多个网络节点,其中,每个被通知的网络节点托管一个或多个所选择的投票分类器的集合中的投票分类器。
2.根据权利要求1所述的方法,其中所述投票优化请求经由网络管理服务器被发送至所述多个网络节点。
3.根据权利要求1所述的方法,其中所述投票优化请求被发送至包括所述多个网络节点的多播群组。
4.根据权利要求1所述的方法,其中所述投票优化数据包括特定分类器的分类器标识符和所述特定分类器基于所述验证数据集合的输出。
5.根据权利要求4所述的方法,其中所述投票优化数据包括如下项中的至少一项:针对所述特定分类器的输出的置信度量或针对特定分类器的置信度量。
6.根据权利要求1所述的方法,还包括:
确定针对所述投票分类器的投票计数阈值。
7.根据权利要求6所述的方法,还包括:
优化目标函数以选择投票分类器集合并且确定所述投票计数阈值,该目标函数包括正确投票数目。
8.根据权利要求1所述的方法,还包括:
接收特定网络节点运行的分类器已被更新的通知。
9.根据权利要求1所述的方法,还包括:
在本地设备处接收所述投票分类器;以及
在所述本地设备处使用所述投票分类器执行投票。
10.根据权利要求1所述的方法,还包括:
使用所述投票分类器在所述多个网络节点上发起分布式投票。
11.一种装置,包括:
一个或多个网络接口,用来与低功率有损网络(LLN)进行通信;
处理器,该处理器被耦接至所述网络接口并且适于运行一个或多个处理;以及
存储器,该存储器被配置为存储可由所述处理器运行的处理,所述处理当被运行时可操作以:
向多个网络节点发送标识验证数据集合的投票优化请求;
接收来自所述多个网络节点的投票优化数据,其中所述网络节点通过使用所述验证数据集合来运行分类器从而生成所述投票优化数据;
基于所述投票优化数据来从所述分类器中选择一个或多个投票分类器的集合;并且
将该选择通知给一个或多个网络节点,其中,每个被通知的网络节点托管一个或多个所选择的投票分类器的集合中的投票分类器。
12.根据权利要求11所述的装置,其中所述投票优化请求经由网络管理服务器被发送至所述多个网络节点。
13.根据权利要求11所述的装置,其中所述投票优化请求被发送至包括所述多个网络节点的多播群组。
14.根据权利要求11所述的装置,其中所述投票优化数据包括特定网络节点所运行的分类器的分类器标识符和所标识的分类器的输出。
15.根据权利要求14所述的装置,其中所述投票优化数据包括如下项中的至少一项:针对所标识的分类器的输出的置信度量或针对所标识的分类器的置信度量。
16.根据权利要求11所述的装置,其中所述处理当被运行时还可操作以:
确定针对所述投票分类器的投票计数阈值。
17.根据权利要求16所述的装置,其中所述处理当被运行时还可操作以:
优化目标函数以选择投票分类器集合并且确定所述投票计数阈值,该目标函数包括正确投票数目。
18.根据权利要求11所述的装置,其中所述处理当被运行时还可操作以:
接收特定网络节点运行的分类器已被更新的通知。
19.根据权利要求11所述的装置,其中所述处理当被运行时还可操作以:
在本地设备处接收所述投票分类器;以及
在所述本地设备处使用所述投票分类器执行投票。
20.根据权利要求11所述的装置,其中所述处理当被运行时还可操作以:
使用所述投票分类器在所述多个网络节点上发起分布式投票。
21.一种在其上编码有软件的有形非暂态计算机可读介质,所述软件当被处理器运行时可操作以:
向多个网络节点发送标识验证数据集合的投票优化请求;
接收来自所述多个网络节点的投票优化数据,其中所述网络节点通过使用所述验证数据集合来运行分类器从而生成所述投票优化数据;
基于所述投票优化数据来从所述分类器中选择一个或多个投票分类器的集合;并且
将该选择通知给一个或多个网络节点,其中,每个被通知的网络节点托管一个或多个所选择的投票分类器的集合中的投票分类器。
22.根据权利要求21所述的计算机可读介质,其中所述软件当被运行时还可操作以:
在本地设备处接收所述投票分类器;以及
在所述本地设备处使用所述投票分类器执行投票。
23.根据权利要求21所述的计算机可读介质,其中所述软件当被运行时还可操作以:
使用所述投票分类器在所述多个网络节点上执行分布式投票。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/275,344 US20150326450A1 (en) | 2014-05-12 | 2014-05-12 | Voting strategy optimization using distributed classifiers |
| US14/275,344 | 2014-05-12 | ||
| PCT/US2015/028471 WO2015175233A1 (en) | 2014-05-12 | 2015-04-30 | Voting strategy optimization using distributed classifiers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106416183A true CN106416183A (zh) | 2017-02-15 |
| CN106416183B CN106416183B (zh) | 2020-07-31 |
Family
ID=53267583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580024940.7A Active CN106416183B (zh) | 2014-05-12 | 2015-04-30 | 使用分布式分类器的投票策略优化 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150326450A1 (zh) |
| EP (1) | EP3143744B1 (zh) |
| CN (1) | CN106416183B (zh) |
| WO (1) | WO2015175233A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109165615A (zh) * | 2018-08-31 | 2019-01-08 | 中国人民解放军军事科学院军事医学研究院 | 一种面向脑电信号的多分类器单路模式下的参数训练算法 |
| CN109948680A (zh) * | 2019-03-11 | 2019-06-28 | 合肥工业大学 | 病历数据的分类方法及系统 |
| CN111401391A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种数据挖掘方法、装置及计算机可读存储介质 |
| CN113196703A (zh) * | 2018-12-18 | 2021-07-30 | 源有限公司 | 保护计算机网络免受中间人攻击的系统和方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10931692B1 (en) | 2015-01-22 | 2021-02-23 | Cisco Technology, Inc. | Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers |
| US10362104B2 (en) | 2015-09-23 | 2019-07-23 | Honeywell International Inc. | Data manager |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US20200401944A1 (en) * | 2018-04-27 | 2020-12-24 | Sony Corporation | Mechanism for machine learning in distributed computing |
| EP3831021A1 (en) | 2018-07-27 | 2021-06-09 | Gotenna Inc. | VINEtm ZERO-CONTROL ROUTING USING DATA PACKET INSPECTION FOR WIRELESS MESH NETWORKS |
| EP3606280B1 (en) * | 2018-08-02 | 2022-10-05 | Mitsubishi Electric R&D Centre Europe B.V. | Method for managing a network and apparatus for implementing the same |
| CN111080288B (zh) * | 2019-10-18 | 2023-08-18 | 湖南天河国云科技有限公司 | 一种基于有向无环图的区块链共识达成方法及装置 |
| KR102135024B1 (ko) * | 2019-11-25 | 2020-07-20 | 한국인터넷진흥원 | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060443A (zh) * | 2006-04-17 | 2007-10-24 | 中国科学院自动化研究所 | 基于改进的自适应提升算法的互联网入侵检测方法 |
| US20070277242A1 (en) * | 2006-05-26 | 2007-11-29 | Microsoft Corporation | Distributed peer attack alerting |
| CN101443736A (zh) * | 2004-11-05 | 2009-05-27 | 安全计算公司 | 消息评估系统及方法 |
| CN102509039A (zh) * | 2010-09-30 | 2012-06-20 | 微软公司 | 实时多引擎选择和组合 |
| CN101632085B (zh) * | 2007-03-14 | 2012-12-12 | 微软公司 | 企业安全评估共享 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370358B2 (en) * | 2001-09-28 | 2008-05-06 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
| US10284571B2 (en) * | 2004-06-28 | 2019-05-07 | Riverbed Technology, Inc. | Rule based alerting in anomaly detection |
| US8775333B1 (en) * | 2008-08-20 | 2014-07-08 | Symantec Corporation | Systems and methods for generating a threat classifier to determine a malicious process |
| US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
| US8578497B2 (en) * | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
-
2014
- 2014-05-12 US US14/275,344 patent/US20150326450A1/en not_active Abandoned
-
2015
- 2015-04-30 WO PCT/US2015/028471 patent/WO2015175233A1/en active Application Filing
- 2015-04-30 CN CN201580024940.7A patent/CN106416183B/zh active Active
- 2015-04-30 EP EP15724833.7A patent/EP3143744B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101443736A (zh) * | 2004-11-05 | 2009-05-27 | 安全计算公司 | 消息评估系统及方法 |
| CN101060443A (zh) * | 2006-04-17 | 2007-10-24 | 中国科学院自动化研究所 | 基于改进的自适应提升算法的互联网入侵检测方法 |
| US20070277242A1 (en) * | 2006-05-26 | 2007-11-29 | Microsoft Corporation | Distributed peer attack alerting |
| CN101632085B (zh) * | 2007-03-14 | 2012-12-12 | 微软公司 | 企业安全评估共享 |
| CN102509039A (zh) * | 2010-09-30 | 2012-06-20 | 微软公司 | 实时多引擎选择和组合 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109165615A (zh) * | 2018-08-31 | 2019-01-08 | 中国人民解放军军事科学院军事医学研究院 | 一种面向脑电信号的多分类器单路模式下的参数训练算法 |
| CN113196703A (zh) * | 2018-12-18 | 2021-07-30 | 源有限公司 | 保护计算机网络免受中间人攻击的系统和方法 |
| CN111401391A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种数据挖掘方法、装置及计算机可读存储介质 |
| CN111401391B (zh) * | 2019-01-02 | 2024-05-07 | 中国移动通信有限公司研究院 | 一种数据挖掘方法、装置及计算机可读存储介质 |
| CN109948680A (zh) * | 2019-03-11 | 2019-06-28 | 合肥工业大学 | 病历数据的分类方法及系统 |
| CN109948680B (zh) * | 2019-03-11 | 2021-06-11 | 合肥工业大学 | 病历数据的分类方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150326450A1 (en) | 2015-11-12 |
| EP3143744B1 (en) | 2020-02-12 |
| WO2015175233A1 (en) | 2015-11-19 |
| CN106416183B (zh) | 2020-07-31 |
| EP3143744A1 (en) | 2017-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106416183A (zh) | 使用分布式分类器的投票策略优化 | |
| US9922196B2 (en) | Verifying network attack detector effectiveness | |
| US9563854B2 (en) | Distributed model training | |
| US11005728B2 (en) | Designating a voting classifier using distributed learning machines | |
| US9413779B2 (en) | Learning model selection in a distributed network | |
| US9230104B2 (en) | Distributed voting mechanism for attack detection | |
| Memon et al. | Protect mobile travelers information in sensitive region based on fuzzy logic in IoT technology | |
| CN105074735B (zh) | 通过在多个学习机器之间共享信息来加速学习 | |
| US9559918B2 (en) | Ground truth evaluation for voting optimization | |
| US20100287128A1 (en) | Anomaly Detection for Link-State Routing Protocols | |
| US20150326598A1 (en) | Predicted attack detection rates along a network path | |
| Ferraz et al. | An accurate and precise malicious node exclusion mechanism for ad hoc networks | |
| Seyfollahi et al. | A review of intrusion detection systems in RPL routing protocol based on machine learning for internet of things applications | |
| Sultan et al. | Collaborative-trust approach toward malicious node detection in vehicular ad hoc networks | |
| Bala et al. | An enhanced intrusion detection system for mobile ad-hoc network based on traffic analysis | |
| Yang et al. | Toward trusted unmanned aerial vehicle swarm networks: A blockchain-based approach | |
| Huang | A data-driven WSN security threat analysis model based on cognitive computing | |
| Kait et al. | Fuzzy logic‐based trusted routing protocol using vehicular cloud networks for smart cities | |
| Mohanaprakash et al. | Efficient and Secure Remote Health Management in Cloud in Vehicular Adhoc Network Environment | |
| Uddin et al. | A framework for event anomaly detection in cognitive radio based smart community | |
| Bhardwaj et al. | A Framework to Systematically Analyse the Trustworthiness of Nodes for Securing IoV Interactions | |
| Koti et al. | Artificial neural network for safety information dissemination in vehicle‐to‐internet networks | |
| Prashanth et al. | An Adaptive Nearest Finding Scheme for Mobile Using Wireless Sensor Networks | |
| Kumari et al. | Identify And Remove Time And Location Dependent Attack Using Trust Concept for MANETs | |
| Bhavsar et al. | Productive Enhancement In Routing Protocol Based On Network Congestion Dominance Occurs in MANET |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |